Auswirkung, Hack einer Website auf Plesk-Server

Dsimon24

Lieutenant
Registriert
Aug. 2016
Beiträge
595
Hallo zusammen,

angenommen, wir haben einen Linux-Plesk-Server mit folgender 'Konfiguration':
Eine Domain mit 10 Subdomains.
Jede Subdomain hat eine Website mit jeweils einer eigenen Datenbank und eigenen FTP-Account.

Jetzt nehmen wir mal ein, Die Website auf Subdomain 5 wurde gehackt.
Der Angreifer hat bspw. Zugang zur Datenbank oder was auch immer.

Wie wahrscheinlich ist es, dass dadurch die anderen Datenbanken,
FTP-Accounts der anderen Subdomains betroffen sind? Kann man das Pauschal beurteilen?

VG,
 
  • Gefällt mir
Reaktionen: M4ttX
Dsimon24 schrieb:
Hier fängt es doch schon an. FTP ist unverschlüsselt. Wie wäre es mit SFTP oder FTPS ?
 
  • Gefällt mir
Reaktionen: H3llF15H
burglar225 schrieb:
Vielleicht kannst du mir trotzdem dazu ein paar Infos geben?
Welche Faktoren spielen u.a. dabei eine Rolle?
Ergänzung ()

Cokocool schrieb:
Hier fängt es doch schon an. FTP ist unverschlüsselt. Wie wäre es mit SFTP oder FTPS ?

FTPS ist im Einsatz und der Server bspw. ist nur über einen SSH-Key erreichbar.
 
Die wichtigste Frage ist, welche Rechte sich der Angreifer aneignen kann.

Apache Rechte:
Läuft alles im selbem Apache Server und der Angreifer erhält vollen Zugriff auf den User, so kann er alle Webseiten manipulieren. Damit kann er entweder an alle Besucher Malware verteilen, hat ziemlich sicher Zugriff auf die zugehörigen DBs und kann Daten abgreifen.

DB Rechte:
Via SQL Injection kann er u.U. User Rechte auf die DB erhalten. Je nachdem, wie du dein Berechtigungskonzept am DB Server aufziehst, hat er dann Zugriff auf alle Daten in der DB. Die kann er abgreifen, manipulieren oder gar löschen.

Ausnutzung von Sicherheitslücken mit erreichen von höheren Rechten:
Wenn der Angreifer durch den Apache oder die DB Zugriff zu höheren Rechten (root, Admin, etc.) erhält, kann er am Server alles machen.

Kurzum: pauschal lässt sich sowas nicht beurteilen. Prinzipiell ist alles mögliche denkbar.
 
  • Gefällt mir
Reaktionen: Spawn182 und conf_t
Wie ist der "Hacker" denn reingekommen?

Gehackt über eine Lücke? Dann ist alles andere auch anfällig.

Eingedrungen über Zugangsdaten? Wenn es Admin-Daten waren, die identisch zu den anderen Sites sind, dann wird der wohl auch überall rein kommen. Wenn die Datenbank abgezogen wurde und Nutzerdaten unverschlüsselt aufliegen...da muss man ja nicht weiterspinnen.
 
  • Gefällt mir
Reaktionen: Spawn182
Das wird der Autor nicht wissen und somit ist es ein weiterer Zombieserver. Betrieben von jemandem, der wenig Kenntnisse dadrüber hat und für Schäden haften sollte.
Aber ein Traum für jene wie mich, die solchen Leuten sofort den Server wegnehmen und als Spamschleuder nutzen.

Mit großer Wahrscheinlichkeit wurden hier Ewigkeiten keine Updates eingespielt und somit sind die Tipps mit SFTP und Co. ja ganz nett aber vollkommen sinnlos, wenn sämtliche Lücken offen stehen wie ein Scheunentor.
Wenn wirklich gehackt hilft nur Daten sichern und einen richtigen Reset machen und das System von 0 auf neu aufsetzen und falls irgendwelche Daten geklaut werden betroffene Informieren. Dazu gibts eine Pflicht.
 
Aus meiner Sicht kann man aus deinen Angaben wenig Schlussfolgern. Sind alle 10 Subdomains identisch konfiguriert und war es tatsächlich ein "Hack", dann kann er mit dem gleichem Hack auch alle anderen Subdomains angreifen.

Ist der Server sauber konfiguriert und war der "Hack" nur ein Zugriff mit Nutzername und Password, ist die Chance größer, dass der Angreifer nur Zugang zu besagter Subdomain 5 hat,

Da die Angaben aber ziemlich kryptisch sind, stellt sich mir die Frage, warum nicht mehr Infos rübergereicht werden und ob Hilfe überhaupt angebracht ist.
 
Warum sollte der Angreifer nur Zugriff auf eine Subdomain haben, die vermutlich sogar nur über den Apache und htaccess definiert sind? Die könnten sogar im selben Ordner liegen und wenn, wie oben beschrieben und das ist am wahrscheinlichsten, der Hack so stattfand, ist das vollkommen egal. Du scheinst wenig Verständnis zu haben was eine Subdomain ist und wie ein Webserver konfiguriert ist.
 
Ich müsste dazu vielleicht nochmal erwähnen, dass der Server nicht gehackt wurde und gar nicht existiert. Das war jetzt in erster Linie nur eine grundsätzliche Frage, da ich mich gerne in die Sache einarbeiten möchte.

Ich hätte auf Antworten gehofft, wie bspw. 'Ja, is nur möglich, wenn ...' - wie auch immer. Aber dann habe ich jetzt die Information, dass es auch bei einem Plesk-Server wohl durchaus entsprechende Möglichkeiten gibt. Das hilft mir schonmal sehr weiter und ich weiß, dass ich mich in diesem Bereich noch ausreichend weiterbilden müsste/könnte.
 
Zurück
Oben